대형 보안 사고에 대한 대응은 최고정보보호책임자의 경력에 중대한 영향을 미친다. 예를 들어 랜섬웨어 공격 이후 네 명 중 한 명의 보안 리더가 교체되는 것으로 나타났지만, 일부 최고정보보호책임자는 투명하고 성공적인 사고 대응 경험을 통해 오히려 채용 시장에서 높은 평가를 받고 있다. 최근 조사에서도 이 같은 현상이 확인됐다. 전체 보안 리더의 65%가 사고 대응을 주도한 경험이 내부 평판을 높였다고 답했으며, 5%만이 부정적 영향을 받았다고 응답했다.

사이버보안 위기 대응 업체 사이택틱의 조사에 따르면 “잘 관리된 사고 대응은 보안을 매출, 브랜드 평판, 운영 연속성을 보호하는 비즈니스 촉진 요인으로 입증한다. 성공적으로 대응을 이끈 최고정보보호책임자는 개인의 명성뿐 아니라 보안 프로그램 전체의 가치를 높인다”라고 밝혔다. 보고서는 이어 “잘 관리된 사고는 압박 속에서의 회복력, 능력, 침착함을 보여주며, 이는 이사회와 최고경영자가 높이 평가하는 자질”이라고 덧붙였다.

여러 기업에서 최고정보보호책임자를 역임한 미하엘 오버렌더는 성공적인 방어 이후 내부 인식이 달라졌다고 말했다. “회의 중 발언하면 모두가 조용히 집중해서 들었다. 처음에는 내가 불명확하게 말한 줄 알았는데, 나중에 보니 모두 주의 깊게 듣고 있었다. 사업부 리더들이 내 의견을 진지하게 받아들였다.” 오버렌더는 위기 상황 당시 전결권을 부여받았으며, 방어 성공 이후 재무 부서가 예산 요청을 더 신중하게 검토했다고 설명했다.

사이버보안 컨설턴트 브라이언 레빈은 현실적으로 최고정보보호책임자가 방어 성공 후 기대할 수 있는 실질적 변화는 예산 확대뿐이라고 지적했다. 다만 이는 개인에 대한 존중 때문이 아니라 대규모 공격 이후 방어 강화가 필요해졌기 때문이라는 분석이다. 레빈은 완벽히 백업해 피해를 막은 한 대기업 사례를 들며 “보안팀이 모든 공격을 막았지만, 이사회는 이를 특별한 일로 보지 않았다”라고 말했다. 레빈은 “최고정보보호책임자가 ‘하루 5만 건의 공격을 차단하고 있다’고 보고하면 실제로 한 건을 막더라도 이사회는 위기의식을 느끼지 못한다”며 “기업이 상시 공격받고 있다는 개념이 너무 정상화돼 있다”라고 설명했다.

포레스터의 제프 폴라드는 “나쁜 일이 일어나지 않으면 그걸 막기 위해 얼마나 많은 노력이 있었는지 알기 어렵다”며 “이는 인간의 본성에 가깝다”라고 말했다. 폴라드는 “공격이 실제 사고로 번지고 방어가 실패하면, 순식간에 영웅이 아니라 희생양이 될 수도 있다”라고 덧붙였다.

현재 컨설턴트로 활동 중인 오버렌더는 “과거에는 검증된 경험을 가진 전문가를 최고정보보호책임자로 채용했지만, 최근에는 비용 절감을 이유로 미숙하고 자격이 부족한 인력을 고용하는 추세”라며 “이로 인해 데이터 유출과 부실한 대응이 빈번하게 발생한다”라고 말했다.

인포테크 리서치 그룹의 에릭 아바키안은 최고정보보호책임자가 공격을 막아야만 가치를 증명할 필요는 없다고 강조했다. 아바키안은 “핵심성과지표를 설정해 경영진에게 구체적인 수치로 성과를 보여주는 것이 중요하다”라고 말했다. 예를 들어 스팸 필터링 시스템이 이메일 혼잡을 줄여 생산성을 높인다면, 이는 비용 절감 효과로 연결된다. 아바키안은 “경영진은 수치로 표현된 결과를 이해한다”라며 “많은 최고정보보호책임자가 실질적인 금액 단위의 성과를 제시하지 않는 것이 문제”라고 분석했다.

온라인 기술 플랫폼 업체 플루럴사이트의 크리스 잭슨은 “최고정보보호책임자는 프로 스포츠 감독과 비슷하다. 시즌 내내 좋은 성적을 내도 우승하지 못하면 실패로 간주되고, 감독은 가장 먼저 교체된다”라고 말했다. 잭슨은 “수년간 침해 사고 없이 운영해도 단 한 번의 사고로 경력이 끝날 수 있다”며 “너무 자주 최고정보보호책임자가 조직 내에서 편리한 희생양이 된다”라고 지적했다.

dl-itworldkorea@foundryco.com